arztpraxen 831 datenschutzbeauftragter DenPhaMedDatenschutzbeauftragte/r

Wer braucht einen und wer nicht?

Die Rechtsgrundlagen für Datenschutzbeauftragte sind einmal das Bundesdatenschutzgesetz (BDSG) und dann die neue EU-Datenschutzgrundverordnung (EU-DSGVO). Um zwei Missverständnisse vorab auszuräumen: Oft wird gedacht, das eine Gesetz würde das andere ersetzen oder die DSGVO sei rigider als das BDSG. Beides stimmt nicht. Die Gesetze sind nicht hierarchisch, sondern es sind beide zu beachten.

Datenschutz gibt es lange schon – Datenschutzbeauftragte auch

Das BDSG sieht schon seit längerem recht strenge Regeln für den Datenschutz vor. So müssen Unternehmen ab zehn mit der Datenverarbeitung befassten Mitarbeitern schon lange eine/n Datenschutzbeauftragte/n ernennen. Dazugezählt werden alle Mitarbeiter, die Zugang zu Patientendaten haben. Also im Prinzip alle außer den Raumpflegern.

Der Gesetzgeber hat die Entscheidung, ob ein Datenschutzbeauftragter zu bestellen ist nicht nur an die Anzahl der mit der Datenverarbeitung beschäftigen Personen gebunden. Vielmehr muss der Unternehmer (Praxisinhaber) selbst bewerten, ob er auch wenn er unterhalb der Mitarbeitergrenze liegt einen Datenschutzbeauftragten bestellen muss. Anhand sog. Erwägungsgründe ist zu entscheiden. Erwägungsgründe können die Verarbeitung von Gesundheitsdaten, biometrischen Daten, die Verarbeitung von Bankdaten, die Verarbeitung von Daten Schutzbefohlener sein, um nur einige Beispiele zu nennen. Schon das Vorhandensein von zwei dieser Erwägungsgründe reicht aus um einen Datenschutzbeauftragten bestellen zu müssen.

Ergänzungen machen Datenschutzrisiken dramatischer

Ergänzt wird diese schon eher betagte Vorgabe nun durch eine Präzisierung und einen deutlich schärferen rechtlichen Rahmen in der EU-DSGVO.

arztpraxen 831 datenschutzbeauftragter ergaenzungen DenPhaMedDie Präzisierung gilt allen, die mit einer Hauptfunktion besonders schützenswerte Daten verarbeiten. Unstreitig gehören Gesundheitsdaten dazu. In Frage steht, ob ein täglich vielfacher Umgang damit schon als Kernaufgabe zu werten ist. Die Tendenz dürfte aber eher zu einem Ja neigen, aber werden irgendwann die Gerichte entscheiden.

Die rechtliche Verschärfung liegt in der 72-Stunden Regel zur Meldung von Datenschutzvorfällen. Diese besagt, dass eine bestimmte Aufgabenmenge – Ursache erfassen – Schaden melden – Betroffene informieren – innerhalb dieser Frist abzuarbeiten ist. Gelingt das nicht, wird bei besonders schützenswerten Daten aus einer Ordnungswidrigkeit ein Straftatbestand.

Datenschutzbeauftragte: nicht mehr Feigenblatt, sondern ein Bollwerk

Diese wesentliche Veränderung wertet die Aufgabe der Datenschutzbeauftragten in der Tat deutlich auf. Plötzlich ist es wichtig zu wissen, was genau zu machen ist, wer es macht, wie es gemacht wird und wo nachzulesen ist, wie es gemacht wurde.

arztpraxen 831 datenschutzbeauftragter bollwerk DenPhaMedIn Arztpraxen ist es nun noch wichtiger, sich mit dem Thema zu beschäftigen. Denn selbst wenn es keinen offiziell benannten Datenschutzbeauftragten gibt, stehen Inhaberin oder Inhaber natürlich für Datenrechtsverletzungen innerhalb ihrer Unternehmen in der Gesamtverantwortung.

Und wenn es eh einer machen muss, dann sollte es auch interne – also Mitarbeiter – oder externe Experten sein, die die Datensicherheit tatsächlich erhöhen, weil sie etwas davon verstehen.

Der bestellte Datenschutzbeauftragte hat in jedem Fall die nötige Fachkunde zu besitzen, welche im Zweifel nachzuweisen ist (Lehrgangsbescheinigung/Zertifikat).

Die Datenschutz-Folgenabschätzung muss passen

Sollten Erwägungsgründe vorliegen, die die Bestellung eines Datenschutzbeauftragten nötig machen ist zudem für die den Erwägungsgründen zu Grunde liegenden Sachverhalten eine sog. Folgenabschätzung anzufertigen. Auf dessen Basis können dann gezielte Personalschulungs-, technische Sicherheits- und Cyber-Schutzmaßnahmen festgelegt werden.

Diese Thematik wird ab 2020 mit dem geplanten eRezept und danach mit der angedachten elektronischen Gesundheitskarte nochmal an Brisanz gewinnen. Und es gibt noch viele weitere Gründe, warum ein Datenschutzbeauftragter aktiv werden sollte. Dazu gehören Themen von Auftragsdatenverarbeitung bis Videoüberwachung.

Intern oder Extern – das ist hier die Frage

Wir plädieren für Extern. Das sind die Gründe:

arztpraxen 831 datenschutzbeauftragter intern extern DenPhaMedMitarbeiter kennen zwar das Unternehmen und dessen Abläufe ganz genau, müssen aber die als Datenschutzbeauftragte/r notwendige Sachkunde noch erwerben, es stehen also Schulungen an. Der Inhaber oder die Inhaberin müssen der/dem Datenschutzbeauftragten die Aufgabenerfüllung ermöglichen – was meist bedeutet, dass noch externe IT-Kompetenz eingekauft werden muss, um die technischen Schwachstellen zu finden – und sie müssen ihre datenschutzrechtlichen Aufgaben frei von Interessenkonflikten erfüllen können. Sie sind also arbeitsrechtlich privilegiert, stehen nicht immer zur Verfügung und sind so gut wie unkündbar.

Externe sind all das nicht, sind längst qualifiziert und meist vielfach erfahren, bringen ihre Arbeitsmittel selber mit und kommen nur dann, wenn sie gebraucht werden. Von Nachteil wäre jedoch in der Tat, wenn diese/r externe Experte die Branche nicht kennen würden.

Deshalb arbeiten wir nur mit Datenschutzexperten zusammen, die ausschließlich in Apotheken und Arztpraxen als externe Datenschutzbeauftragte tätig sind. Nutzen Sie die Vorteile aus zwei Welten und lernen Sie unsere Expertenpersönlich kennen.

arztpraxen 831 datenschutzbeauftragter gutschein DenPhaMed

Unser Cyber-Sicherheits-Gutschein enthält übrigens gleich beide Komponenten, die für eine fundierte Datenschutz-Folgenabschätzung notwendig sind: den Sachstand der IT-Sicherheit und den Grad der Datenrechtsgefährdung. Lassen Sie unsere Experten einfach mal nachschauen. Anfrage Beratung Datensicherheit/Datenschutzbeauftragte/r (mail an Zentralbüro)